Write Filter

Windows Write Filter sind eigens von Microsoft Windows entwickelte Werkzeuge, um eine Partition vor Schreibzugriffen zu schützen. Die Schreibzugriffe werden in den RAM umgeleitet und die Partition dadurch in einem vorkonfigurierten Zustand gesichert. Nach einem Neustart wird das System automatisch in den ursprünglich definierten Zustand zurückgesetzt.

Ein Schreibschutzfilter kann je nach Anwendungsfall konfiguriert werden. So wird das System vor ungewollten Schreibzugriffen geschützt. Durch Ausnahmen („Exclusions“) wird definiert, auf welche Ordner weiterhin auch Schreibzugriffe möglich sind.

Bedeutung für IT-Security

Aus Sicht des Betreibers ist es sinnvoll, wenn die Änderungen durch Malware nach einem Neustart rückgängig gemacht werden und der Betrieb wiederaufgenommen werden kann. Jedoch können dadurch weniger Informationen über die Infektion bzw. den Angriff gesammelt werden, welcher ggf. erneut erfolgen kann.

Außerdem ist das An- und Ausschalten des Write Filters nicht gesichert. Wenn der Benutzer, in dessen Kontext der Angriff stattfindet, die Write-Filter-Einstellungen ändern kann, kann das auch ein Angreifer.

EWF

Der EWF (Enhanced Write Filter) schützt die gesamte Partition vor Schreibzugriffen ohne Ausnahmen. Wenn der EWF aktiv ist, werden alle Schreibzugriffe in den Arbeitsspeicher umgeleitet. Nach einem Neustart oder Spannungsausfall befindet sich das System wieder im ursprünglichen Zustand.

Der EWF wird mit der Software Beckhoff EWF Manger gesteuert, die bereits standardmäßig installiert ist.

Write Filter 1: — Beckhoff EWF Manager, Benutzeroberfläche.

Legende zum Beckhoff EWF Manager.
Nr.	Beschreibung
1	EWF einschalten, EWF ausschalten.
2	Daten können zur Laufzeit übernommen werden, wenn der EWF aktiv ist.
3	EWF ohne Neustart ausschalten.
4	Boot command zurücksetzen auf NO COMMAND.
5	Name der Partition.
6	ID der Partition, auf der der EWF ausgeführt wird (in Hexadezimal).
7	Zeigt an, welche Kommandos nach dem Neustart ausgeführt werden. Es gibt folgende Kommandos: NO COMMAND, keine Änderungen. ENABLE, der EWF wird nach dem Neustart eingeschaltet. DISABLE, der EWF wird nach dem Neustart ausgeschaltet. COMMIT, Daten werden beim Herunterfahren auf das Speichermedium geschrieben, obwohl der EWF eingeschaltet ist.
8	Zeigt den aktuellen Status an, ob der EWF eingeschaltet oder ausgeschaltet ist.
9	Zeigt den EWF Modus an. Im RAM REG Modus werden alle Zugriffe in den Arbeitsspeicher umgeleitet und die EWF Einstellungen in der Registry gespeichert.

Voraussetzungen:

Windows Embedded Standard 2009 oder
Windows Embedded Standard 7 P

Aktivieren Sie den EWF wie folgt:

1. Starten Sie den Industrie- oder Embedded-PC und klicken Sie unter Start < All Programs < Beckhoff EWF Manager auf Beckhoff EWF Manager.

2. Klicken Sie unter Action auf die Schaltfläche Enable EWF.

3. Bestätigen Sie die Einstellungen, damit die Änderungen wirksam werden.

Die Änderungen sind erst nach einem Neustart aktiv. Sie haben den EWF erfolgreich aktiviert.

FBWF

Im Gegensatz zum EWF arbeitet der FBWF auf Dateiebene. Dadurch ist es möglich Ausnahmen zu definieren und Schreibzugriffe auf einzelne Dateien oder Ordner zu erlauben. Alle anderen Schreibzugriffe werden in den Arbeitsspeicher umgeleitet. Nach einem Neustart befindet sich das System wieder im ursprünglichen Zustand.

Sobald der FBWF aktiviert wird, werden einige Ordner automatisch für den direkten Schreibzugriff freigegeben. So steht beispielsweise der Ordner C:\Data zum Schreiben von permanenten Daten zur Verfügung. Durch die Freigabe des Ordners C:\TwinCAT\Boot kann ein neues TwinCAT-Boot-Projekt auf den Rechner geladen werden, ohne dass der FBWF vorher deaktiviert werden muss

EWF vs. FBWF

	EWF und FBWF nicht gleichzeitig betreiben Wenn beide Write Filter aktiviert sind, werden die Ausnahmen des FBWF durch den EWF abgefangen und gehen nach einem Neustart des Rechners verloren. Aktivieren Sie die beiden Write Filter EWF und FBWF nicht zur selben Zeit.

In den meisten Fällen ist der FBWF die bessere Wahl, da er einfacher zu bedienen ist und direkte Schreibzugriffe erlaubt. Jedoch gibt es Szenarien in denen der EWF unverzichtbar ist, z.B. wird HORM (Hibernate Once/Resume Many) vom FBWF nicht unterstützt. Außerdem ist beim FBWF die Verwendung von komprimierten NTFS-Volumen nicht möglich.

Steuerung mit dem Beckhoff FBWF Manager

Der FBWF wird mit der Software Beckhoff FBWF Manger gesteuert, die standardmäßig installiert ist.

Write Filter 3: — Beckhoff FBWF Manager, Benutzeroberfläche.

Legende zum Beckhoff FBWF Manager.
Nr.	Beschreibung
1	Über die Schaltfläche Change State wird der FBWF ein- oder ausgeschaltet. Der aktuelle und nächste Status wird angezeigt. Änderungen werden immer erst nach einem Neustart übernommen.
2	Die Komprimierung kann erst eingeschaltet werden, wenn der FBWF aktiv ist. Zeigt ob die Komprimierung des FBWF Overlays aktiv ist.
3	PreAllocation kann erst eingeschaltet werden, wenn der FBWF aktiv ist. Zeigt ob die PreAllocation aktiviert ist.
4	Unter der Registerkarte Exclusion Settings werden Ausnahmen erstellt. Bei einem aktivierten FBWF werden standardmäßig Ordner in die Ausnameliste hinzugefügt.

Voraussetzungen:

Windows Embedded Standard 2009 oder
Windows Embedded Standard 7 P

Aktivieren Sie den FBWF wie folgt:

1. Starten Sie den Industrie- oder Embedded-PC und klicken Sie unter Start < All Programs < Beckhoff FBWF Manager auf Beckhoff FBWF Manager.

2. Klicken Sie unter der Registerkarte General Settings auf die Schaltfläche Change Settings.

3. Die Anzeige bei Next State ändert sich und die Meldung FBWF ENABLED erscheint.

4. Starten Sie den Industrie- oder Embedded-PC neu.

Die Änderungen sind erst nach einem Neustart aktiv. Die Anzeige bei Current State wechselt nach dem Neustart auf FBWF ENABLED. Sie haben den FBWF erfolgreich aktiviert.